Segurança de dados: risco vs. ameaça vs. vulnerabilidade
Risco, ameaça e vulnerabilidade: clareza nos termos ajuda a fortalecer a segurança de dados nas empresas 
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Risco, ameaça e vulnerabilidade: clareza nos termos ajuda a fortalecer a segurança de dados nas empresas 

    Publicado em: 14 de novembro de 2023

    Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a segurança de dados

    Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.

    E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. 

    No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações. 

    Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas. 

    Risco 

    ‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros. 

    Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco. 

    E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento. 

    Ameaça 

    Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização. 

    Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes. 

    Vulnerabilidade 

    A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.  

    Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão:  bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações. 

    Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações. 

    *Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

    Compartilhe:

    Publicações relacionadas

    Gerenciamento de Projetos: o papel do PMO (Project Management Office)

    26 de janeiro de 2024

    Um PMO bem estruturado apoiando o trabalho dos GPs permite projetos mais bem planejados e conduzidos. Saiba mais.

    Leia mais

    Cibersegurança: medidas para empresas e órgãos reguladores atuarem em casos críticos 

    15 de janeiro de 2024

    Ataques cibernéticos, como o ransomware, não são problemas técnicos, mas uma preocupação para os reguladores de cibersegurança do mundo. 

    Leia mais

    O papel da segurança cibernética no processo de inovação das empresas

    13 de dezembro de 2023

    Com a rápida transformação da TI, organizações enfrentam pressões contínuas para inovar. Nesse contexto, a segurança cibernética ganha força.

    Leia mais

    8 passos para construir uma cultura de Segurança da Informação com gamificação

    8 de dezembro de 2023

    Sem dúvida, a Tecnologia da Informação (TI) tem um papel fundamental nos processos de Segurança da Informação, pois viabiliza controles que garantem a proteção ou, no mínimo, mitigam os riscos. Porém, acreditar que essa área é responsabilidade exclusiva da TI talvez seja a maior fragilidade das empresas. Sem uma participação efetiva de todos os colaboradores, […]

    Leia mais